Le RGPD et la gestion des impayés

Le 25 mai 2018, le nouveau Règlement Général pour la Protection des Données (RGPD) entrait en vigueur. Applicable à l’échelle européenne, cette réglementation a imposé la mise en œuvre de chantiers d’envergure au sein des entreprises, sommés de se mettre en conformité. Nécessaire à l’heure de la collecte et du traitement d’un volume de données personnelles toujours croissant à l’ère des nouveaux outils informatiques, la nouvelle réglementation ne pose pas moins problème aux professionnels. A quelles occasions faut-il s’y conformer ? Comment l’appliquer ?

Les entreprises n’échappent pas à l’obligation de mise en conformité au RGPD dans le cadre de la gestion des impayés, dès lors que cette gestion implique nécessairement de récolter et de conserver certaines données personnelles des débiteurs. La dématérialisation des process de recouvrement et le stockage numérique des informations impose de mettre en place une politique stricte, pour éviter tout recours du débiteur – et les sanctions lourdes auxquelles ils peuvent aboutir. Quelles nouveautés dans le recouvrement des factures avec l’entrée en vigueur du RGPD ? Réponses.

Une obligation d’information sur l’existence d’un traitement de données à caractère personnel

1ère nouveauté avec l’entrée en vigueur du RGPD : les entreprises doivent informer clairement les clients de l’existence d’un fichier de gestion des impayés. Il s’agit de les prévenir, en amont même de la transaction commerciale, que leurs données personnelles seront potentiellement enregistrées dans un fichier spécifique en cas d’incident de paiement.

Cette information doit être délivrée au moment de la conclusion du contrat, à l’occasion de laquelle les données client sont collectées. A défaut de signature d’un contrat, les CGV et/ou les bons de commande doivent préciser cette possibilité pour l’entreprise de collecter et de traiter les données personnelles nécessaires à la gestion des impayés.

Au-delà de notifier l’existence du fichier, les documents contractuels doivent mentionner la durée de conservation des données, ainsi que la nature des informations stockées – nom et prénom du débiteur, adresse et moyens de contact – et les droits du client en application du RGPD – droit d’accès et droit de correction notamment. 

La constitution d’un fichier spécifique de gestion des impayés

Le recouvrement des factures est un poste spécifique, qui oblige à créer un fichier spécifique pour se mettre en conformité avec le RGPD. Ce fichier doit respecter les principes de proportionnalité et de nécessité. C’est-à-dire que seules les données personnelles nécessaires à la gestion des impayés doivent y être stockées, de manière sécurisée et dans un but proportionné.

Pour rappel :

La finalité du fichier de gestion des impayés : recenser les anomalies de paiement et identifier les débiteurs, pour mettre en place les process de recouvrement adaptés et éventuellement exclure les mauvais payeurs de toute transaction à venir.

Le fondement juridique du traitement : le fichier de gestion des impayés se fonde sur l’exécution du contrat conclu avec le client.

Les données collectées : les éléments d’identification et les moyens de contact du débiteur peuvent figurer au fichier. Toute autre donnée collectée doit être pertinente dans le cadre du recouvrement des impayés – moyens de paiement du client, nature de l’anomalie de règlement, historique de la relation commerciale…

La suppression obligatoire des données au terme de la durée de conservation nécessaire

Le fichier de gestion des impayés doit être régulièrement mis à jour. L’entreprise a notamment l’obligation de supprimer les données personnelles dès lors que leur conservation n’est plus justifiée.

3 hypothèses :

  1. L’entreprise supprime les données personnelles du débiteur dans un délai maximum de 48 heures à compter de la régularisation de la facture.
  2. L’entreprise peut conserver les données après règlement de la facture à condition de justifier que cela est nécessaire – profil mauvais payeur qui implique de conserver des données pour éviter la survenance d’une nouvelle anomalie de paiement, par exemple.
  3. A défaut de règlement amiable, l’entreprise conserve les informations pendant toute la durée du contentieux – ou pendant le délai de prescription, dans l’attente de la mise en œuvre de poursuites.
  4. Les données personnelles du fichier de gestion des impayés peuvent être stockées en archivage lorsque l’entreprise en a l’obligation légale – conservation des documents comptables pendant 10 ans, par exemple.

En tout état de cause, la durée de conservation doit être proportionnelle et justifiable.

L’interdiction de changement non autorisé de la destination des données

Autre nouveauté en application du RGPD : l’entreprise ne peut en aucun cas utiliser les données personnelles du fichier de gestion des impayés dans un autre objectif que le recouvrement des factures. Il est également interdit de vendre les informations ou de les transmettre à un tiers non autorisé.
En cas de transfert hors UE, l’entreprise veille à respecter les règles spécifiques – autorisation préalable de la CNIL, décision d’adéquation… – et à en imposer le respect au destinataire.

Les métiers du recouvrement de créances directement impactés

L’entreprise qui gère en interne ses process de recouvrement de factures doit être attentive. A défaut de mise en conformité au RGPD, le risque est considérable et les sanctions lourdes.
En confiant la gestion des impayés à une société de recouvrement experte, considérée comme responsable du traitement, l’entreprise s’assure du bon respect de ces nouvelles obligations – et préserve d’autant mieux sa relation client, en assurant la protection des données personnelles et les droits des intéressés.